お客様のデータに保護対象医療情報 (以下「PHI」) が含まれており、お客様が該当する場合、対象事業体またはビジネスアソシエイトであり、該当する場合、および両当事者間のビジネスアソシエイト補遺で定義されている通り、Asana がビジネスアソシエイトまたはお客様の下請け業者である場合、お客様による本サービスの利用には以下の要件および制限が適用されます。

1. お客様は、本サービスに PHI を入力する前に、ビジネスアソシエイト契約を締結する必要があります。

2. HIPAA に準拠したワークスペースへのアクセスはドメイン全体であるため、お客様は既存のワークスペースを単一の組織にアップグレードし、既存の部門を該当する組織にアップグレードする必要があります。

3. 両当事者間において、お客様は、本サービス内のお客様のワークスペース内で、エンドユーザーおよび PHI へのアクセスを管理する責任を単独で負います。

• a. Asana が書面で別途明記しない限り、お客様組織の各エンドユーザーは専用のメールドメインを持っている必要があります。個人用のメールドメインの使用は禁止されています。

• b. お客様は、非公開タスクや非公開プロジェクトなどのサービス機能を使用することにより、必要に応じて、PHI を含むプロジェクトのエンドユーザーへの可視性を制限するものとします。

• c. お客様は、すべてのエンドユーザーに対して、二要素認証、SSO、または Google 認証を有効にするか、有効にしたままにする必要があります。

• d. お客様は、本サービスを利用して、患者、プランメンバー、その家族、または雇用主と直接やり取りしたり、アカウントを提供したりしてはなりません。

4. お客様は、サービス内の「タスク」および「プロジェクト」のみに (例:⁠タスクおよびプロジェクトの説明、タスクおよびプロジェクトのタイトル、カスタムフィールド、コメント、および添付ファイルに) PHI を入力することができます。

• a. お客様は、サポートチケットまたはタスク以外の Asana の一部で、PHI を Asana のユーザーオペレーションチームに提供してはなりません。

• b. お客様は、上記に記載されていないサービス機能に PHI を入力してはなりません。これには、プロフィール、メッセージ、目標が含まれますが、これらに限定されません。

5. お客様は、本サービスの無料版に PHI を入力してはなりません。

6. 両当事者間において、お客様は、Asana API および監査ログを使用して、異常なアクティビティを監視する責任を単独で負います。

7. お客様は、一部の Asana 機能を利用できない可能性があること、およびお客様の組織 / ワークスペース内の一部の機能が HIPAA に準拠していないためデフォルトでオフになっていることを了承し、同意するものとします。お客様は、自己責任でこれらの機能を有効にすることができます。これらには、以下の機能が含まれますが、これらに限定されるものではありません。次の機能は、Asana のドキュメント内で随時更新される可能性があります。ゲスト、ビデオメッセージング、および Asana AI。

8. お客様は、本サービスを PHI の記録システムとして使用してはなりません。

9. お客様は、Asana が、Asana のアプリディレクトリに記載されているものを含む、サードパーティのサービスプロバイダーとビジネスアソシエイト契約を締結しないことに同意するものとします。お客様は、これらのサードパーティサービスプロバイダーと個別のビジネスアソシエイト契約を直接締結する必要があります。

10. お客様は、Asana サービスへのアクセスに関するお客様の同意 (以下「本契約」) にかかわらず、お客様が本サービスの HIPAA Smiles ティアにアクセスした場合を除き、Asana がお客様のインスタンスにあるすべてのお客様データ (PHI を含む) を、お客様の本契約の終了または満了から 180 日後に削除することに同意するものとします。データは、ドメイン削除後の一定期間バックアップに保持されます。お客様が本サービスの HIPAA Smiles ティアにアクセスした場合、Asana は、6 か月間の非アクティブ状態の後、お客様のインスタンスにあるすべてのお客様データ (PHI を含む) を削除します。お客様は、Asana のドキュメントに従って、期間中いつでもお客様データ (PHI を含む) をエクスポートすることができます。